هشدار به کاربران WhatsApp: هکرها بدون نیاز به پسورد، حساب‌ها را در اختیار می‌گیرند

هکرها می‌توانند بدون کرک کردن پسورد یا رمزنگاری، حساب‌های WhatsApp را تصاحب کنند. حملاتی که با نام GhostPairing شناخته می‌شوند، از قابلیت لینک کردن دستگاه‌ها سوءاستفاده می‌کنند تا به دسترسی کامل به حساب کاربری دست یابند. در این روش، کاربران از طریق صفحات جعلی ورود Facebook فریب داده می‌شوند تا به‌طور ناخواسته به مهاجمان مجوز بدهند. پژوهشگران امنیتی نسبت به گسترش این شیوه جدید سرقت حساب هشدار داده‌اند.

در این حمله، مهاجمان از قابلیت رسمی لینک دادن دستگاه در WhatsApp استفاده می‌کنند تا مرورگر خود را به‌صورت پنهانی به حساب قربانی متصل نمایند. پس از برقراری این ارتباط، مهاجم قادر است پیام‌ها را به‌صورت لحظه‌ای مشاهده کند، فایل‌های رسانه‌ای به‌اشتراک‌گذاشته‌شده را دانلود و پیام‌هایی ارسال نماید که به‌طور کامل به‌عنوان پیام‌های ارسالی از سوی قربانی نمایش داده می‌شوند.

این حمله که با نام GhostPairing شناخته می‌شود، با یک پیام کوتاه آغاز می‌گردد که ظاهراً از سوی یکی از مخاطبان مورد اعتماد ارسال شده است. این پیام معمولاً حاوی لینکی است که ادعا می‌کند تصویری از گیرنده را نمایش می‌دهد. برای افزایش اعتماد کاربر، پیش‌نمایش پیوند اغلب شبیه محتوای فیس‌بوک طراحی می‌شود.

با کلیک روی این پیوند، قربانی به یک صفحه جعلی ورود فیس‌بوک هدایت می‌شود که روی دامنه‌ای مشابه دامنه اصلی میزبانی شده است. این صفحه به‌جای انجام هرگونه فرایند تأیید هویت، گردش‌کار رسمی جفت‌سازی دستگاه در واتساپ را آغاز می‌کند. در این مرحله، از قربانی خواسته می‌شود شماره تلفن خود را در صفحه جعلی وارد کند؛ اقدامی که به مهاجم امکان می‌دهد یک درخواست جفت‌سازی کاملاً قانونی را فعال نماید.

پس از آن، WhatsApp یک کد جفت‌سازی تولید می‌کند و مهاجم این کد را روی وب‌سایت جعلی نمایش می‌دهد. سپس به قربانی دستور داده می‌شود این کد را در داخل برنامه واتساپ وارد کند و قربانی بدون آگاهی، یک دستگاه جدید را به حساب خود پیوند می‌دهد. با وجود آنکه واتساپ به‌طور شفاف اعلام می‌کند که یک دستگاه جدید در حال اضافه شدن است، پژوهشگران امنیتی می‌گویند بسیاری از کاربران در جریان این فرایند پیام هشدار را نادیده می‌گیرند یا آن را به‌درستی درک نمی‌کنند.

پس از تکمیل جفت‌سازی، مهاجمان بدون نیاز به هرگونه اطلاعات احراز هویت، به دسترسی کامل حساب دست می‌یابند. شرکت Gen Digital هشدار داده که بسیاری از قربانیان متوجه نمی‌شوند که یک دستگاه اضافی به‌طور پنهانی به حساب آن‌ها متصل شده است. این وضعیت به مجرمان امکان می‌دهد مکالمات را زیر نظر بگیرند، اطلاعات حساس را جمع‌آوری کنند، هویت قربانی را جعل کرده و همان تله فریبنده را برای مخاطبان و گروه‌های گفت‌وگو ارسال نمایند.

پژوهشگران پیش‌تر نیز نمونه‌های مشابهی از سوءاستفاده از قابلیت پیوند دستگاه را در حملات علیه سایر پلتفرم‌های پیام‌رسان مشاهده کرده‌اند. تنها راه قابل‌اعتماد برای شناسایی چنین نفوذی، بررسی دستی بخش Linked Devices در تنظیمات WhatsApp است. اگر کاربر دستگاهی را در این فهرست مشاهده کند که آن را نمی‌شناسد، باید بلافاصله آن دستگاه را از حساب حذف کند.

همچنین به کاربران توصیه می‌شود پیام‌های مشکوک را گزارش دهند و لایه‌های حفاظتی اضافی حساب، از جمله احراز هویت دومرحله‌ای، را فعال کنند. ابزارهایی مانند نرم‌افزارهای آنتی‌ویروس می‌توانند به شناسایی وب‌سایت‌های مخرب کمک کنند و راهکارهای حذف بدافزار در صورتی که نفوذ بیشتری رخ داده باشد، مفید خواهند بود. خدمات حفاظت در برابر سرقت هویت نیز می‌توانند پس از افشای داده‌های شخصی از میزان آسیب بکاهند، هرچند خود این خدمات مانع سرقت حساب کاربر نمی‌شوند.

این نوع سوءاستفاده نشان می‌دهد که حتی با وجود هشدارهای صریح پلتفرم‌ها در هنگام انجام اقدامات حساس، آگاهی کاربران همچنان یکی از مهم‌ترین نقاط ضعف امنیتی باقی مانده است.